IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale; Visto il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito Codice); Visto il decreto legislativo 7 marzo 2005, n. 82, Codice dell'amministrazione digitale (di seguito Cad); Considerate le peculiari caratteristiche delle banche dati delle amministrazioni pubbliche, contraddistinte, in particolare, dall'ingente mole di dati trattati, dalla delicatezza delle informazioni ivi contenute e dalla molteplicita' di soggetti autorizzati ad accedervi, nonche' l'esigenza di garantire costantemente l'esattezza, l'integrita' e la disponibilita' dei dati personali ivi contenuti non solo in relazione alle c. d. basi dati di interesse nazionale (art. 60 del Cad), unitamente agli specifici rischi di accesso non autorizzato e di trattamento non consentito; Ritenuto necessario assoggettare il trattamento dei dati personali effettuato nell'ambito delle predette banche dati all'obbligo di comunicazione al Garante del verificarsi di violazioni dei dati o incidenti informatici (accessi abusivi, azione di malware) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione; Ritenuto, pertanto, che le pubbliche amministrazioni di cui all'art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 debbano comunicare al Garante, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati (c.d. data breach) e che tali comunicazioni devono essere redatte secondo lo schema riportato nell'Allegato 1 al presente provvedimento e inviate tramite posta elettronica o posta elettronica certificata all'indirizzo: databreach.pa@pec.gpdp.it; Vista, inoltre, la nuova formulazione dell'art. 58, comma 2, del Cad, cosi' come modificato dall'art. 24-quinquies, comma 1, decreto-legge 24 giugno 2014, n. 90, convertito, con modificazioni, dalla legge 11 agosto 2014, n. 114, in vigore dal 19 agosto 2014, la quale ha previsto che «le pubbliche amministrazioni comunicano tra loro attraverso la messa a disposizione a titolo gratuito degli accessi alle proprie basi di dati alle altre amministrazioni mediante la cooperazione applicativa di cui all'art. 72, comma 1, lettera e). L'Agenzia per l'Italia digitale, sentiti il Garante per la protezione dei dati personali e le amministrazioni interessate alla comunicazione telematica, definisce entro novanta giorni gli standard di comunicazione e le regole tecniche a cui le pubbliche amministrazioni devono conformarsi»; Considerato che tale modifica ha superato, quindi, il pregresso impianto normativo relativo all'accessibilita' telematica ai dati delle pubbliche amministrazioni, fondato su «apposite convenzioni aperte all'adesione di tutte le amministrazioni interessate volte a disciplinare le modalita' di accesso ai dati da parte delle stesse amministrazioni procedenti» (testo previgente dell'art. 58, comma 2 del Cad); Considerato, altresi', che il Garante, nell'ambito del parere del 4 luglio 2013 (doc. web n. 2574977) sulle apposite linee guida dell'Agenzia per l'Italia digitale (di seguito Agid) per la stipula delle predette convenzioni aperte aveva prescritto alle amministrazioni destinatarie delle stesse l'adozione di specifiche misure tecniche e organizzative; Considerato che nel trattamento di dati personali l'erogatore (amministrazione titolare del trattamento dei dati personali che mette a disposizione i relativi servizi di accesso) e il fruitore (amministrazione richiedente che accede in qualita' di autonomo titolare ai dati personali resi disponibili dall'erogatore) sono chiamati a rispettare il Codice con particolare riferimento ai presupposti che legittimano i flussi di dati e agli adempimenti in materia di misure di sicurezza; Ritenuto necessario, pertanto, nelle more della definizione da parte dell'Agid dei suindicati «standard di comunicazione e le regole tecniche», confermare le specifiche misure tecniche e organizzative gia' individuate, prescrivendo nuovamente l'adozione delle stesse - riportate nell'Allegato 2 al presente provvedimento - al fine di ridurre al minimo i rischi di accessi non autorizzati o di trattamenti non consentiti o non conformi alle finalita' della raccolta dei dati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento ai sensi dell'art. 31 del Codice, salvo che le modalita' di accesso alle banche dati siano gia' state oggetto di esame da parte del Garante nell'ambito di specifici provvedimenti; Rilevato che le misure necessarie individuate nell'Allegato 2, adeguate al nuovo contenuto del citato art. 58, comma 2, nella sostanza risultano equivalenti a quelle prescritte dal Garante nell'ambito del predetto parere sulle linee guida dell'Agid del 4 luglio 2013; Ritenuto, pertanto, che le convenzioni gia' predisposte dalle amministrazioni nel rispetto del richiamato parere del Garante, anche al fine di garantire il rispetto del principio di semplificazione, debbano ritenersi conformi alle misure necessarie individuate nell'Allegato 2 al presente provvedimento; Ritenuto, invece, che laddove siano state previste modalita' di accesso ai dati personali ai sensi della nuova formulazione del predetto art. 58, comma 2 del Cad, non conformi alle misure gia' individuate dal Garante nel citato provvedimento del 4 luglio 2013, le misure previste nell'Allegato 2 debbano essere adottate dalle amministrazioni interessate entro e non oltre il 31 dicembre 2015; Rilevato, infine, che la mancata comunicazione al Garante dei c.d. data breach, nonche' la mancata adozione delle misure necessarie individuate nell'Allegato 2 al presente provvedimento nei suesposti termini e modalita', configurano un illecito amministrativo sanzionato ai sensi dell'art. 162, comma 2-ter del Codice; Vista la documentazioni in atti; Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore la dott.ssa Augusta Iannini; Tutto cio' premesso il Garante: 1. Ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive che le pubbliche amministrazioni di cui all'art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 devono comunicare al Garante, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati e che tali comunicazioni debbano essere redatte secondo lo schema riportato nell'Allegato 1 al presente provvedimento e inviate tramite posta elettronica o posta elettronica certificata all'indirizzo: databreach.pa@pec.gpdp.it; 2. Ai sensi dell'art. 154, comma 1, lett. c), del Codice, nelle more della definizione degli «standard di comunicazione e le regole tecniche» da parte dell'Agid ai sensi dell'art. 58, comma 2, del Cad, prescrive alle pubbliche amministrazioni che intendano mettere a disposizione gli accessi alle proprie banche dati alle altre amministrazioni che ne abbiano diritto mediante la cooperazione applicativa di cui all'art. 72, comma 1, lettera e) del Cad l'adozione delle misure necessarie individuate nell'Allegato 2 al presente provvedimento, salvo che le modalita' di accesso alle banche dati siano gia' state oggetto di esame da parte del Garante nell'ambito di specifici provvedimenti; laddove siano gia' state previste modalita' di accesso ai sensi della nuova formulazione del predetto art. 58, comma 2 del Cad, non conformi alle misure gia' individuate dal Garante nel provvedimento del 4 luglio 2013, prescrive che le misure necessarie previste nell'Allegato 2 siano adottate dalle amministrazioni interessate entro e non oltre il 31 dicembre 2015; 3. Ai sensi dell'art. 143, comma 2, del Codice dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 2 luglio 2015 Il presidente: Soro Il relatore: Iannini Il segretario generale: Busia